Informations de sécurité / 2016 / Informations sur la sécurité -- DSA-3597-1 expat

Bulletin d'alerte Debian

DSA-3597-1 expat -- Mise à jour de sécurité

Date du rapport :

7 juin 2016

Paquets concernés :

expat

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2012-6702, CVE-2016-5300.

Plus de précisions :

Deux problèmes liés ont été découverts dans Expat, une bibliothèque C d'analyse XML.

• CVE-2012-6702

  Ils ont été introduits lors de la correction de CVE-2012-0876. Stefan Sørensen a découvert que l'utilisation de la fonction XML_Parse() ensemençait le générateur de nombres aléatoires en générant des sorties récurrentes pour les appels de rand().

• CVE-2016-5300

  C'est le produit d'une solution incomplète pour CVE-2012-0876. L'analyseur ensemence mal le générateur de nombres aléatoires permettant à un attaquant de provoquer un déni de service (consommation excessive du CPU) à l'aide d'un fichier XML avec des identifiants contrefaits.

Il pourrait être nécessaire de redémarrer manuellement les programmes et les services utilisant les bibliothèques d'expat.

Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 2.1.0-6+deb8u3.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 2.1.1-3.

Nous vous recommandons de mettre à jour vos paquets expat.